Mobilfunk-Sicherheit

Sicherheitslücken im LTE-Netz

Auch das moderne LTE-Netz birgt jede Menge Sicherheitslücken, die bislang noch nicht ausgemerzt sind. Beim 5G-Standard drohen neben der Übernahme von Altlasten ganz neue Risiken.

LTE Sicherheitslücken

© © Titima Ongkantong / shutterstock.com

Sicherheitslücken im LTE-Netz

Dass Handygespräche von Dritten abgehört und SMS mitgelesen werden können, ist der breiten Öffentlichkeit spätestens seit dem NSA-Abhörskandal um Kanzlerin Merkels Mobiltelefon bekannt. Doch dass der derzeit fortschrittlichste Mobilfunkstandard LTE enorme Sicherheitslücken aufweist, lässt einen schon mal trocken schlucken. Schließlich haben die schnellen LTE-Netze den mobilen Alltag revolutioniert: Viele haben ihr Smartphone unterwegs nahezu im Dauereinsatz – und jede Menge sensibler Daten darin gelagert.

Zehn neue Sicherheitslücken in LTE 

Sicherheitsforscher von den US-Universitäten Purdue und Iowa haben zahlreiche Schwachstellen in den LTE-Netzen mehrerer amerikanischer Netzbetreiber entdeckt, die es Angreifern ermöglichen, Nutzer zu tracken, Geräte stillzulegen oder Nachrichten zu fälschen. Dazu haben sie das 4G-Protokoll mit einer Software namens „LTEInspector“ auf mögliche Lecks überprüft und dabei zehn neue Sicherheitslücken gefunden sowie neun bereits bekannte dokumentiert. 

Anhand von unterschiedlichen Angriffsszenarien konnten die Wissenschaftler unter realen Bedingungen nachweisen, dass der Zugriff auf fremde Handys möglich ist. Dabei verhinderten die Sicherheitsforscher, dass sich das Handy einer Testperson in das reguläre Netzwerk einbuchte und brachten es dazu, sich stattdessen mit einer eigenen Endstelle zu verbinden. Über so einen gefälschten Zugang lässt sich das Gerät jedes beliebigen Nutzers verfolgen und ausspähen oder mit gefälschten Warnhinweisen bespielen. 

Kriminelle können ihren eigenen Standort fälschen, um sich etwa bei einer Strafverfolgung, bei der Handydaten ausgewertet werden, ein falsches Alibi zu verschaffen. Auch gefakte SMS-Meldungen lassen sich über eine gehackte Mobilfunknummer versenden, um Spam zu verbreiten oder Chaos zu stiften. So hat erst Anfang Januar eine falsche SMS-Warnung vor einem Raketenangriff auf Hawaii Panik ausgelöst. Des Weiteren lässt sich mit gefälschten Kontrollbefehlen der Akku des getrackten Smartphones schneller leeren: Dazu wird das Gerät immer wieder neu ins Netz eingebucht, was viel Strom frisst. So lässt sich aus der Ferne eine Person daran hindern, im Notfall Hilfe anzufordern oder Kontakt mit anderen aufzunehmen.

Patches schließen Lücken nicht

Laut den US-Forschern sind die gravierenden Schwachstellen allesamt an drei wichtigen Stellen des LTE-Protokolls zu finden: Sie betreffen die Anmeldung oder Abmeldung eines Gerätes am Netzwerk (Attach und Detach) sowie den Aufbau eines Anrufes, um die Konfiguration zum Gerät zu senden oder Notfall-Meldungen zu verschicken (Paging). Das Problem dabei: Die Lücken stecken tief im Protokoll und lassen sich nicht im Nachhinein durch Bugfixes beheben. Und Änderungen im Protokoll kann man auch nicht einfach einspielen, da sonst Millionen Geräte nicht mehr mit dem LTE-Netz kompatibel wären.

Überwachung via IMSI-Catcher

© WEKA Media Publishing GmbH

Ein IMSI-Catcher simuliert eine Funkzelle und bringt Mobilgeräte dazu, sich in ihn statt in das reguläre Netz einzubuchen – dabei wird die gesamte Kommunikation inklusive Datenverkehr umgeleitet.

Basisnetz von Grund auf unsicher 

Die Sicherheitsbugs haben eine lange Historie: Die grundlegenden Protokolle für die Signalisierungsnetze, die dazu dienen, alle Serviceinformationen innerhalb eines Telefonnetzwerkes zu übertragen, wurden 1981 weltweit als Standard verabschiedet. Damals gab es nur eine sehr überschaubare Anzahl staatlicher Telekommunikationsfirmen. Das sogenannte Signalisierungssystem Nummer 7 (SS7), über das die netz- und länderübergreifende Kommunikation sowie Roaming gesteuert wird, wurde von Grund auf nicht auf Sicherheit gebaut. Man ging davon aus, dass ohnehin nur vertrauenswürdige Netzbetreiber Zugriff auf das SS7-Netzwerk haben. 

„Früher konnten die Betreiber mit eigenen Protokollen und vom Internet abgeschirmten Netzen die meisten Angreifer fernhalten“, erklärt Hakan Ekmen, CEO von connect-Netztestpartner P3 Communications. Doch die Bedrohungslage hat sich schon bei 2G- und 3G-Netzen deutlich verschärft: Mittlerweile haben unzählige Betreiber Zugriff auf das alte Roaming-Protokoll. Praktisch jeder kann sich gegen Geld einen SS7-Zugang organisieren, auch mit einem Zugang im Ausland lassen sich etwa deutsche Handys orten. 

Die Verschlüsselungsdaten, die TK-Betreiber über das SS7-Netz austauschen, werden häufig automatisiert übertragen, ohne dass eine Authentifizierung erfolgen muss. So ist es für Angreifer einfach, Telefonate abzuhören, Nutzer zu orten oder SMS-TANs abzufangen. Mit dem Diameter-Protokoll, das bei LTE zur Authentifizierung, Autorisierung und Abrechnung dient, wollte man die SS7-Lücken schließen. Doch nach wie vor lässt sich die IMSI-Nummer (International Mobile Subscriber Identity), mit der man die Teilnehmerkennung eines Geräts ermitteln kann, ausspionieren. Mit IMSI- Catchern, die eine Basisstation vortäuschen, kann man ein Handy unbemerkt identifizieren und tracken.

5G birgt neue Sicherheitsrisiken 

Immerhin: Bei 5G soll die IMSI-Nummer nur noch der Netzbetreiber auslesen können. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat Ende März dennoch eindrücklich davor gewarnt, dass alte Protokollfehler in den neuen Standard übertragen werden und fordert die EU-Kommission auf, höhere Sicherheitsanforderungen festzuschreiben. Da das 5G-Netz Internetprotokolle nutzt, drohen zudem ganz neue Gefahren. Hoffen wir, dass die Mahner Gehör finden – denn wenn die Standardisierung erst einmal abgeschlossen ist, lässt sich im Nachhinein nicht mehr viel drehen. Was die Netzbetreiber zu diesem Thema sagen, lesen Sie auf den folgenden Seiten.

Mehr zum Thema

Shutterstock-Teaserbild-502007980
Mobilfunk-Netztest 2018

Der Netztest wird kontinuierlich weiter entwickelt. Ein erster Ausblickt zeigt, wie wir das Testprogramm mit Crowdsourcing erweitern wollen.
LTE in Europa - Datenvolumen
Datentarife

In puncto Datenvolumen für Smartphone-Nutzer ist uns das Ausland teils meilenweit voraus. So sehen LTE-Tarife in anderen Ländern aus.
Mobilfunk Sendemast
5G-Ausbau

Die große Koalition will Deutschland in eine Spitzenposition beim Netzausbau bringen. Doch andere Staaten legen gewaltig vor. Werden wir abgehängt?
Interview mit Thorsten Robrecht Nokia
connect conference 2018

Thorsten Robrecht von Nokia verrät im Interview, wann die ersten 5G-Netze kommen, welche Anwendungen er sieht und was LTE bereits leistet.
LTE Smartphone
LTE-Frequenzen

Handys ohne LTE gibt es immer weniger, aber nicht jedes Smartphone unterstützt auch alle in Deutschland wichtigen Frequenzbereiche.
Alle Testberichte
Shure KSE1200 Kopfhörer
Elektrostatischer In-Ear-Kopfhörer
Als elektrostatischer Kopfhörer braucht der KSE 1200 Unterstützung vom mobilen Verstärker KSA1200. Im Test beeindruckt der Klang des Gespanns.
Luxman PD 1714A Plattenspieler Aufmacher
Klang, Verarbeitung, Preis und Co.
Luxmans tritt mit seinem Plattenspieler PD 171A in der zweiten Runde mit Verarbeitung, Klang und mehr an. Der Test verrät, wie gut der Klang ist.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.